BonduのAI人形に脆弱性、子供の会話データが外部アクセス可能に

AI人形Bonduにおけるセキュリティ脆弱性と情報露出

子供向けAI人形を提供する Bondu において、深刻なセキュリティ上の問題が確認され、子供との個人会話データが外部から閲覧可能な状態となっていたことが判明した。

調査によると、この脆弱性により、特別な認証を必要とせず、Gmailアカウントを用いた簡易なログインのみで、約5万件に及ぶ子供の会話データへアクセスできる状況が生じていたという。

Bonduは当該製品を「子供と会話し、学び、遊ぶことができる柔らかく温かみのあるAI人形」として訴求していたが、実際には個人情報保護の観点から重大なリスクを内包していたことになる。

本件は、子供向けAIデバイスにおけるデータ管理体制の不備と、プライバシー保護の重要性を改めて浮き彫りにする事例といえる。

セキュリティホールによる子供の個人情報リスク

研究者らは、Bondu の公開ウェブコンソールが無断ログインに対して極めて脆弱であり、子供の名前、生年月日、家族構成など、機微な個人会話データが危険にさらされていたことを確認した。

流出した情報は、窃盗や誘拐などの犯罪に悪用される可能性があり、特に深刻なリスクを伴う内容だったとされている。

Bonduは問題を認識後、ウェブコンソールを一時的にオフライン化し、認証機能を追加するなどの対応を実施したと発表。追加のセキュリティ対策を講じることで、当該脆弱性は解消されたとしている。

今回の事案は、AI玩具における安全設計と個人情報保護の重要性を改めて浮き彫りにした。専門家は、保護者に対し、玩具のデータ記録・保存方針を十分に確認し、子供が機微な情報を共有しないよう注意を促している。

AI玩具の利用にあたっては、適切な監督とデータ管理体制が確立されていることが不可欠であり、慎重な運用が求められる。